eidas et EBIOS JM Rietsch

Documents pareils
Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Connaître les Menaces d Insécurité du Système d Information

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Dématérialisation du courrier: à éviter

Dématique et archivage

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC AUDITÉES

DATE D'APPLICATION Octobre 2008

CHARTE FOURNISSEUR INERIS. Préambule : 1 - QUALITE & TECHNOLOGIE QUALITE DE LA SOURCE

LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC AUDITÉES

POLITIQUE DE CERTIFICATION. Autorité de certification «CERTEUROPE ADVANCED CA V3»

Dossier de presse L'archivage électronique

SOMMAIRE ETUDE SERDALAB : «DEMATERIALISATION DES PROCESSUS DOCUMENTAIRES : MARCHE ET TENDANCES EN »

Référentiel Général de Sécurité

Les conséquences de Bâle II pour la sécurité informatique

Directeur Secteur Applicatif : Philippe ARNAULT Chef de Projet : Ceydrick GENDRE

GUIDES ET RECOMMANDATIONS

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

L impact d un incident de sécurité pour le citoyen et l entreprise

Signature électronique 3.0 Le futur est déjà présent Petit-déjeuner débat du 29 janvier 2014

INTERNET ET e-commerce

Assurance de l entreprise en difficulté

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

Cahier des Clauses Techniques Particulières

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

CONTRAT DE PERMANENCE TELEPHONIQUE EXTERNALISATION DE STANDARD

Le service civique. réseau Uniopss-Uriopss / Site Guide de l employeur / Zoom sur / juin

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

LA SIGNATURE ELECTRONIQUE

Les Auteurs. Ont également contribué à ce document

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Synthèse résultats 2 ème édition Baromètre Dématérialisation Finance Edition Spéciale PME/ETI. Juillet 2013

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

! "! #! $%& '( )* &#* +,

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

2010 GUIDES ET RECOMMANDATIONS

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

Conditions Générales d Utilisation

MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE

Autorité de Certification OTU

AVIS DE VACANCE DE POSTE DE SAPEURS-POMPIERS VOLONTAIRES SAISONNIERS AU CORPS DEPARTEMENTAL DU GARD

L'AUDIT DES SYSTEMES D'INFORMATION

REGLEMENT DE LA CONSULTATION (RC)

L archivage électronique pour les laboratoires pharmaceutiques

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

Projet de raccordement au réseau de transport de gaz naturel CONVENTION D ETUDES DE RACCORDEMENT. DISTRIBUTEUR : Commune :.. (dpt)

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

CERTIFICATS ÉLECTRONIQUES

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

DAT FIDELITE. Ce mémo est mis à votre disposition pour reprendre de façon simple et transparente les principales caractéristiques de ce contrat.

Manuel utilisateur Contenu

La présentation qui suit respecte la charte graphique de l entreprise GMF

DESCRIPTION DU COMPOSANT

Yourcegid Consolidation On Demand

SERIE OCDE LES PRINCIPES DE BONNES PRATIQUES DE LABORATOIRE ET LA VERIFICATION DU RESPECT DE CES PRINCIPES. Numéro 2 (révisé)

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

N o 6315 CHAMBRE DES DEPUTES. Session ordinaire PROJET DE LOI

Du 03 au 07 Février 2014 Tunis (Tunisie)

Art. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique.

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Les consommateurs et le marché intérieur

DOCSaaS Cloud Computing Solutions

L agrément des entreprises pour le conseil indépendant à l utilisation de produits phytopharmaceutiques. Ordre du jour

Les planificateurs financiers

FORUM DE LA DEMATERIALISATION

FORMATIONS De ploiement des PKI dans les entreprises Technologie VPN IPSEC Se curiser un syste me Unix ou Linux

Conditions générales de prestations de services

Politique de Sécurité des Systèmes d Information

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Yourcegid Fiscalité On Demand

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

FORUM DE LA DEMATERIALISATION

NOGENT PERCHE HABITAT Office Public de l Habitat

MEMENTO Version

AVIS DE MARCHE. Marché de services de nettoyage de bâtiments et services de gestion de propriétés

APPEL A CANDIDATURE Marché en entreprise générale TCE.

Quadra Entreprise On Demand

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Sommaire. CEGID Editeur de progiciels de gestion. Etudes Markess International. Implémentation de l offre CEGID. Cas pratiques

CONVENTION DE PARTENARIAT AGENCES

Le Dossier Médical Personnel et la sécurité

28/06/2013, : MPKIG034,

Maison du droit et de la médiation

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Restauration Scolaire Lycée Français Josué-Hoffet. Cahier des Charges et Contrat 2014

LA VERSION ELECTRONIQUE FAIT FOI

REGLEMENT DE CONSULTATION

REGLEMENT DE CONSULTATION

UNIVERSITE DE TOULON UFR FACULTE DE DROIT REGLEMENT D EXAMEN ANNEE 2012/2017 LICENCE DROIT MENTION DROIT GENERAL

Transcription:

eidas et EBIOS JM Rietsch Ingénieur civil des Mines Expert international en dématique Chargé de cours à Mines ParisTech et à l université de Luxembourg Fondateur de FedISA EBIOS EIDAS 2016 1

Quelques réalisations Missions Mise en place archivage des e-mails pour l ensemble des offices notariaux d Ile de France avec la Chambre des Notaires de Paris. Elaboration d un référentiel (PSDC) pour le Grand Duché du Luxembourg Développement de la carte d identité électronique monégasque (CIME) au format ECC (European Citizen card) Participation à la dématérialisation des établissement du groupe RGDS (Ramsay Générale de Santé) Formations sous la marque Demateus A l origine dès 2008 d un mastère sous forme de deux BADGEs avec MinesParistech, Management de la démat et de l archivage électronique, management du patrimoine informationnel Mise en œuvre de formations certifiantes sur la dématique Développement d une méthode technico-juridique originale, d analyse des risques des processus dématérialisés, en collaboration avec Isabelle Renard, avocat EBIOS EIDAS 2016 2

Plan de la présentation 1. Rappel des principaux objectifs eidas 2. Ce qu il faut en retenir 3. eidas et EBIOS 4. Approche utilisateurs EBIOS EIDAS 2016 3

Rappels eidas EBIOS EIDAS 2016 4

Principaux objectifs Assurer l interopérabilité au sein des Etats membres Fournir des services de confiance avec une sécurité juridique élevée Garantir la confidentialité et la sécurité des traitements / données personnelles Disposer d un niveau de confiance et de sécurité, adapté au degré de risque identifié EBIOS EIDAS 2016 5

L organisation du règlement européen Règlement eidas eid Services de confiance Reconnaissance mutuelle Signature Validation Conservation Cachet Validation Conservation Authentificat Sites Horodatage Recommandé Electronique EBIOS EIDAS 2016 6

A19 Exigences de sécurité applicables aux prestataires de services de confiance Les PSCQ et PSCnQ prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu'ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Niveau de sécurité adapté au besoins (risques identifiés) EBIOS EIDAS 2016 7

A19 Exigences de sécurité applicables aux prestataires de services de confiance (suite) Les PSCQ et PSCnQ notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l'organe de contrôle et, le cas échéant, à d'autres organismes concernés, tels que l'organisme national compétent en matière de sécurité de l'information ou l'autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées. Obligation de déclarer toute atteinte à la sécurité à l organe de contrôle national et le cas échéant: personne physique ou morale, autres organes de contrôle, ENISA, public. EBIOS EIDAS 2016 8

A23 Label de confiance de l'union pour les services de confiance qualifiés Lorsque le statut qualifié est sur la liste de confiance, les PSCQ peuvent utiliser le label de confiance de l'union. PSCQ veille à ce qu un lien vers la liste de confiance concernée soit disponible sur leur site internet Affichage d un label facilement reconnaissable EBIOS EIDAS 2016 9

Citoyens Entreprises Autorités publiques So what? EBIOS EIDAS 2016 10

Ce qu il faut en retenir Simplification, un organe de contrôle, moins d obstacles administratifs, accent sur la présomption de fiabilité, seule va subsister la partie homologation du RGS Clarté, totale équivalence du numérique et du «papier», différence entre signature et cachet électronique Interopérabilité: Outils (authentification en ligne, signature et cachet, ) Services (appels d offres, santé, ) Existence d un véritable statut pour les PSCO (label) Sécurité adaptée Généralisation d une identité numérique forte et partagée Importance de la transversalité: technique juridique - organisationnel EBIOS EIDAS 2016 11

EBIOS niveaux de services de confiance Importance de la prise en compte de la transversalité des processus numériques EBIOS EIDAS 2016 12

Critères sécuritaires Système Archivage Electronique intégrité «technique» confidentialité traçabilité (globale système et cycle de vie des informations) pérennité : disponibilité dans le temps lisibilité (capacité à relire «physiquement») Intelligibilité (capacité à interpréter les éléments conservés) EBIOS EIDAS 2016 13

Intégrité Besoins en matière d intégrité Note Pas de besoin particuliers en matière d intégrité 1 Perte d intégrité tolérée mais doit être détectée et signalée Perte d intégrité tolérée mais doit être détectée et corrigée 2 3 Aucune perte d intégrité tolérée 4 EBIOS EIDAS 2016 14

Confidentialité Type de confidentialité Note Commentaire Données publiques 1 Ces informations sont destinées à être largement diffusées Elles ne font l objet d aucune protection de confidentialité particulière. Données à diffusion restreintes 2 Données confidentielles 3 La divulgation de telles informations est susceptible d entraîner des préjudices pour l organisme propriétaire des données, sans le mettre directement en péril. La divulgation de ces informations peut entraîner des préjudices graves pour l organisme propriétaire. Ces informations sont soumises à des règles de protection particulièrement rigoureuses. Données très confidentielles 4 La divulgation de cette information pourrait causer un dommage exceptionnellement grave allant jusqu à la disparition de l organisme dont elle émane. EBIOS EIDAS 2016 15

Traces Note Besoins / cycle de vie des données/documents 1 Action système technique et fonctionnel 2 Actions tracées : - Versement - Suppression - Changement de durée de conservation - Restitution - Conversion (changement de format logique) - Migration (changement de support) Conservation sécurisée (chainage des journaux) 3 4 Actions tracées : ajout de la consultation Conservation sécurisée (chainage des journaux) Horodatage externe Restitution possible pour chaque donnée/document EBIOS EIDAS 2016 16

Pérennité (disponibilité, durée, lisibilité, intelligibilité) Pérennité - disponibilité Note Dans l heure, jusqu à 5 ans 1 Dans les 4 heures, de 5 à 10 ans 2 Dans la journée, de 10 ans à 30 ans 3 Dans la semaine, ad vitam aeternam 4 EBIOS EIDAS 2016 17

Archivage électronique Proposition des niveaux de confiance Niveau d archivage Pérennité disponibilité lisibilité intelligibilité Intégrité Confidentialité Trace Simple 1/2 2 1 2 Avancé faible 2 2 2 3 Avancé fort 3 3 2/3 4 Qualifié 4 3/4 3/4 4 EBIOS EIDAS 2016 18

Analyse EBIOS EBIOS EIDAS 2016 19

Biens essentiels Biens essentiels P I C T Niveau 4 Qualifié / données des clients 4 3/4 3/4 4 Niveau 3 Avancé fort / données des clients 3 3 2/3 3 Niveau 2 Avancé faible / données des clients 2 2 2 3 Niveau 1 Simple / données des clients 1/2 2 1 2 Paramètres clients 4 3 2 2 Journaux 3 3 2 1 Documents de conception, sources des logiciels 3 2 2 1 Documents d exploitation 4 2 2 1 Politiques, déclarations 1 2 2 1 EBIOS EIDAS 2016 20

Approche utilisateurs par les risques Vision données/documents EBIOS EIDAS 2016 21

Classifier ses données/documents Vital - Risque 4 Critique - Risque 3 Sensible - Risque 2 Standard - Risque 1 Volumétrie EBIOS EIDAS 2016 22

Critères sécuritaires / documents Aide à la classification confidentialité traçabilité (cycle de vie) pérennité : Disponibilité-accessibilité intelligibilité authenticité : intégrité «contenu informationnel» (autorise la conversion de format et la perte d intégrité «technique») origine (imputabilité) date EBIOS EIDAS 2016 23

Niveau de risque / document Niveau de risque Confidentialité Traçabilité Pérennité Authenticité 1 1/2 2 1 2 2 2 2 2 3 3 3 3 2/3 4 4 4 3/4 3/4 4 EBIOS EIDAS 2016 24

Mise en œuvre EBIOS EIDAS 2016 25

Signature électronique Expression des besoins Niveau de risque Type de signature Niveau de signature Dispositifs à mettre en place Certificat Dispositif création PSCO PSCO Q 1 Simple Sans Sans 2 EN 319 411 part 3 LCP Avancée «faible» A clé Sans 2 publique EN 319 411 part 3 NCP 3 Secure User Device Avancée «fort» 3 Qualifié Sans EN 319 411 part 3 NCP+ EN 319 411 part 2 4 Qualifiée SSCD Qualifié 4 Qualifiée SSCD Qualifié N/A EN 319 411 part 2 EBIOS EIDAS 2016 26

Archivage électronique Expression de besoins Choix du type d archivage Dispositifs à mettre en place Information (niveau risque) Niveau d archivage Pérennité Intégrité Confidentialité Trace 1 Simple 1/2 2 1 2 2 Avancé faible 2 2 2 3 3 Avancé fort 3 3 2/3 4 4 Qualifié 4 3/4 3/4 4 EBIOS EIDAS 2016 27

Merci pour votre attention Q & R EBIOS EIDAS 2016 28

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back